Hola a todos. Estoy tratando de depurar el firewall, para proteger mejor la red local. Necesito la opinión de mas gente.
La estructura es esta:
Un equipo haciendo de firewall con 3 interfaces. No hay router, va directo al
modem cable.
eth0 -->Puerta de enlace dhcp
eth1 -->LAN
eth2 -->Servidor www, mail.
Tengo puestas todas las reglas que se piden para que funcione (politica por
defecto, modulos, Forwarding, NAT para la LAN y DMZ, Interfaz local). Eso
funciona bien.
La política es:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP <-- Esta es la que quiero dejar ahora
Poniendo en FORWARD DROP he tenido que poner las siguientes reglas para que
los equipos, tanto de la LAN como el servidor que está en la DMZ, pueda salir
a Internet.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth2 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state
ESTABLISHED,RELATED -j ACCEPT
Como podéis ver, la eth0 acepta sólo conexiones nuevas salientes, la eth1 y la
eth2 a la inversa. Esto lo he puesto así, pues acepta las conexiones desde la
LAN y el servidor de la DMZ. Supongo que será lo correcto.
Lo que quiero hacer, es evitar que desde el firewall y el servidor de la DMZ,
se tenga acceso a la LAN. Al contrario si.
Lo curioso es que por ssh puedo acceder a todos los equipos, incluso la DMZ,
pero al firewall no. Tengo que poner una regla para que me lo permita. No
entiendo el porque. El servidor ssh no tiene ninguna configuración especial
que no lo permita.
¿Alguien sabría decirme si las reglas que he puesto son correctas?.
--
Saludos.
Pablo.
Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49
Jabber: bruli(at)myjabber(dot)net
pgpKrCF4mLKFq.pgp
Description: PGP signature
